Erfolgreich mit Compliance

Impressum

978-3-85402-413-2

Auch als Buch verfügbar

978-3-85402-412-5

2., überarbeitete Auflage 2021

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme

auf oder in sonstige Medien oder Datenträger,

auch bei nur auszugsweiser Verwertung,

sind nur mit ausdrücklicher Zustimmung der

Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen

trotz sorgfältiger Bearbeitung ohne Gewähr

und eine Haftung der Autorin oder des Verlages

ist ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.

Es wird an dieser Stelle darauf hingewiesen, dass die ausschließ­liche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2021

Die Austrian Standards plus GmbH ist ein

Unternehmen von Austrian Standards International.

Austrian Standards plus GmbH

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-355

E service@austrian-standards.at

www.austrian-standards.at/fachliteratur

ProjektManagement

Gertraud Reznicek

Cover – Fotocredit

© iStockphoto.com/Bedrin-Alexander

Satz/gestaltung

Alexander Mang

Inhalt

Abkürzungsverzeichnis

Vorwort

1 Grundlagen und Rahmenbedingungen

1.1 Begriffsbestimmung Compliance

1.2 Rechtliche Rahmenbedingungen für Compliance in Organisationen

1.2.1 Verantwortung von Organisationen im internationalen Rahmen

1.2.2 Verantwortung von Organisationen im nationalen Rahmen

1.2.3 Verantwortung für Compliance in Österreich

1.3 Compliance als Werkzeug des strategischen Managements

1.3.1 Begriffsbestimmung Management-Systeme

1.3.2 Compliance-Management-Systeme

1.4 Abgrenzung Governance – IKS – RMS – CMS

1.4.1 Corporate Governance

1.4.2 Internes Kontrollsystem (IKS)

1.4.3 Risikomanagement-System (RMS)

1.4.4 Compliance-Management (CMS)

1.5 ISO 37301 als Best-Practice-Ansatz für regelkonformes Verhalten

2 Umsetzung der ISO 37301 im Kontext

2.1 Standardisierung von Management-Systemen nach ISO

2.1.1 Management-System-Standards nach ISO High-Level Structure

2.1.2 Integriertes Management-System

2.1.3 ISO 37001 Anti-bribery management systems

2.2 Das Prinzip der fortlaufenden Verbesserung – PDCA-Zyklus

2.2.1 Prinzip der fortlaufenden Verbesserung von ISO Management- System-Standards (MSS)

2.2.2 ISO 37301 im PDCA-Zyklus

2.3 Change-Management als Führungsinstrument zur Umsetzung der ISO 37301

2.3.1 Definition Change-Management

2.3.2 Einflussfaktoren von Change-Management

2.3.3 Leading Change – Das 8-Stufen-Modell nach John P. Kotter

3 Anforderungen der ISO 37301 – Compliance-Management-Systeme

3.1 Einleitung

3.2 Anwendungsbereich der ISO 37301

3.3 Begriffe nach ISO 37301

3.4 Die Organisation und ihr Kontext

3.4.1 Verstehen der Organisation und ihres Kontextes

3.4.2 Erfordernisse und Erwartungen von interessierten Parteien

3.4.3 Bestimmung des Anwendungsbereichs des Compliance-Management-Systems

3.4.4 Compliance-Management-System

3.4.5 Compliance-Verpflichtungen

3.4.6 Compliance-Risikobewertung

3.5 Führung

3.5.1 Führung und Engagement

3.5.2 Compliance-Politik

3.5.3 Rollen, Verantwortlichkeiten und Zuständigkeiten

3.6 Planung

3.6.1 Maßnahmen zur Behandlung von Compliance-Risiken

3.6.2 Compliance-Ziele und Planung zu deren Erreichung

3.6.3 Planung von Änderungen

3.7 Unterstützung

3.7.1 Ressourcen

3.7.2 Kompetenz

3.7.3 Bewusstsein

3.7.4 Kommunikation

3.7.5 Dokumentierte Information

3.8 Betrieb

3.8.1 Operative Planung und Steuerung

3.8.2 Errichtung von Maßnahmen und Kontrollen

3.8.3 Compliance-Bedenken

3.8.4 Untersuchungsprozesse

3.9 Bewertung der Leistung

3.9.1 Überwachung, Messung, Analyse und Bewertung

3.9.2 Internes Audit

3.9.3 Management-Bewertung

3.10 Verbesserung

3.10.1 Kontinuierliche Verbesserung

3.10.2 Nichtkonformität und Korrekturmaßnahmen

4 Leitfaden für kleinere und mittlere Unternehmen (KMU)

4.1 Compliance-relevante Merkmale des Mittelstandes

4.2 Umsetzen und Ausgestalten von Compliance-Management im Mittelstand

4.3 Fazit

5 Externe Überprüfung und Zertifizierung

5.1 Externe Audits von Compliance-Management-Systemen

5.1.1 Grundlagen

5.1.2 Auditprozess

5.2 Zertifizierung eines CMS

5.3 Zertifizierungsprozess im Rahmen von ISO

6 Weiterführende Konzepte

6.1 Organisationskultur als Führungsinstrument

6.1.1 Einflüsse auf Organisationskulturen

6.1.2 Merkmale von Organisationskulturen

6.1.3 Das Kulturmodell nach Schein

6.1.4 Wirkung und Funktion von Organisationskulturen

6.1.5 Messung von Organisationskulturen – das Modell von Denison

6.1.6 Organisationskultur und ein CMS nach ISO 37301

6.2 Risikomanagement

6.2.1 Ein Risikomanagement-System im Überblick

6.2.2 ERM – organisationsweites, ganzheitliches Risikomanagement

6.2.3 ISO 31000 Risk Management

6.2.4 Risikomanagement und ein CMS nach ISO 37301

7 Resümee und Ausblick

Literaturverzeichnis

Die Autorin

Abbildungsverzeichnis

Abbildung 1: COSO Internal Control – Integrated Framework

Abbildung 2: ISO 37301 im Deming-Zyklus der ständigen Verbesserung

Abbildung 3: Phasenschema von Veränderungen nach Lewin

Abbildung 4: Promotoren und Destruktoren nach Ladwig/Domsch

Abbildung 5: Allgemeine Symptome des Widerstandes nach Doppler/Lauterburg

Abbildung 6: Ausgewählte Handlungsfelder von Widerständen nach Reiß

Abbildung 7: 8-Stufen-Modell für Veränderungen nach Kotter

Abbildung 8: PESTLE-Analyse des äußeren Umfeldes

Abbildung 9: Interessierte Parteien/Stakeholder

Abbildung 10: Stakeholder Einfluss-Interessen-Matrix

Abbildung 11: Risikomatrix

Abbildung 12: Ebenen und Eigenschaften eines Verhaltenskodex

Abbildung 13: Wertorientierung des CMS nach Grüninger

Abbildung 14: Compliance als Unterstützung der Organisationsziele

Abbildung 15: Mittel zur Umsetzung der Compliance-Politik

Abbildung 16: Komponenten der Handlungsfähigkeit

Abbildung 17: Fraud Triangle und Ansätze zur Prävention nach Grüninger

Abbildung 18: DMAIC-Zyklus der laufenden Verbesserung

Abbildung 19: Überblick Kommunikationsmittel nach Mast/Maletzke

Abbildung 20: Ablauf eines Monitoring-Verfahrens

Abbildung 21: Ansätze zum Compliance-Management nach Saitz/Tempel/Brühl

Abbildung 22: Zertifizierungsprozess nach ISO/IEC 17021

Abbildung 23: Kulturelles Schachtelmodell nach Thomas

Abbildung 24: Kulturebenen nach Schein

Abbildung 25: Parameter für Organisationskulturen nach Dension

Abbildung 26: Unternehmenskultur und Effektivität

Abbildung 27: Bausteine eines Risikomanagement-Systems

Abbildung 28: COSO ERM Framework

Abbildung 29: Risikomatrix

Abbildung 30: Risikomanagementprozess nach ISO 31000:2018

Tabellenverzeichnis

Tabelle 1: Anforderungen an ein effektives CMS vs. ISO 37301

Tabelle 2: Richtlinie US-DOJ zur Beurteilung eines effektiven Corporate-Compliance-Programmes vs. ISO 37301

Tabelle 3: Weltbankgruppe Integritäts-Compliance Richtlinien vs. ISO 37001

Tabelle 4: Vergleich HLS-Struktur in verschiedenen ISO MSS – Übersicht

Tabelle 5: Vergleich HLS-Struktur in ISO MSS – Kapitel 8 „Betrieb“

Tabelle 6: Richtlinie zum UK Bribery Act 2010 vs. ISO 37001

Tabelle 7: ICC Anti-Korruptionsrichtlinien vs. ISO 37001

Tabelle 8: Anforderungen an ein effektives Managementsystem zur Korruptionsbekämpfung vs. ISO 37001

Tabelle 9: Vergleich ISO 37301 vs. ISO 37001 auf Basis der HLS-Struktur von ISO MSS

Tabelle 10: Vergleich ISO 37301 vs. ISO 37001 – Kapitel 8 „Betrieb“

Tabelle 11: Interne Bestimmungsfaktoren einer Organisation

Tabelle 12: Skala Eintrittswahrscheinlichkeit

Tabelle 13: Beispiel Risikolandkarte

Tabelle 14: Indikatoren für CMS Ziele nach Johnson/Soreide

Tabelle 15: Informations- und Kommunikationsbedarf (Beispiele) nach Bruhn

Tabelle 16: Klassifikation von Kommunikationsmedien nach Vahs/Wieand

Tabelle 17: EU-Definition KMU

Tabelle 18: Arten von Systemaudits

Tabelle 19: Beispiele Key-Risk-Indikatoren (KRIs)

Abkürzungsverzeichnis

Vorwort

Compliance-Management beinhaltet die standardisierte Identifikation von Verpflichtungen und deren systematische Übersetzung in den Organisationsalltag. Die Entwicklung von Strukturen und Maßnahmen und dessen Integration in bestehende Verfahren und Prozesse verringert das Risiko von nicht-regelkonformem Verhalten bei der Ausübung der Geschäftstätigkeit. Ein Compliance-Management-System (CMS) muss jedoch mehr bieten. Um akzeptiert zu werden, müssen Compliance-Maßnahmen eng mit Effektivität und Effizienz verbunden sein und dürfen nicht als bürokratische Hindernisse empfunden werden. Compliance ist demnach keine reine Pflichtübung, um negative Folgen von einer Organisation abzuwenden, sondern trägt zur Verbesserung des operativen Betriebes bei. Dieses Buch leistet dazu einen Beitrag und unterstützt Organisationen aller Art dabei, Compliance-Maßnahmen zur Steigerung von Effektivität und Effizienz der gesamten Organisationssteuerung zu nutzen.

Die ISO 37301:2021 „Compliance-Management-Systems – Requirements with guidance for use“ wurde von Anwendern für Anwender entwickelt. Sie erhebt den Anspruch, ein Best-Practice-Ansatz für weltweit vereinheitlichte Anforderungen zur Entwicklung, Umsetzung, Aufrechterhaltung und kontinuierlichen Verbesserung eines CMS zu sein. Der Umfang, in dem die einzelnen Elemente umgesetzt werden, ist dem Prinzip der Angemessenheit folgend auf die individuellen Besonderheiten der Organisation abzustimmen. Der Standard ist somit auf alle Arten von Organisationen – unabhängig von Größe, Branche, Geschäftstätigkeit oder Rechtsform – anwendbar.

Dieser Kommentar erläutert alle Elemente der ISO 37301 und führt mit zahlreichen Praxistipps an eine schrittweise Umsetzung heran. Durch den ganzheitlichen Ansatz ist ein CMS nach ISO 37301 ein Führungsinstrument des strategischen Managements. Dieses Buch erhebt den Anspruch, die praktische Umsetzung wissenschaftlich zu fundieren, gepaart mit jahrzehntelanger Erfahrung im Aufbau und in der Leitung von komplexen Systemen. Zum Zeitpunkt der Drucklegung dieses Kommentars (Stand Juni 2021) stand eine deutschsprachige Fassung der ISO 37301 noch nicht zur Verfügung. Die Begrifflichkeiten richten sich nach der am 13. April 2021 publizierten englischen Fassung. Die Übersetzungen erfolgten durch die Autorin.

Wie schon der Vorgängerstandard ISO 19600 beruht die ISO 37301 auf einer einheitlichen Vorlage von ISO-Management-System-Standards (ebenso wie z.B. ISO 37001 Managementsysteme zur Korruptionsbekämpfung – Anforderungen mit Leitlinien zur Anwendung) und kann daher in einer integrierten Weise implementiert werden. In diesem Sinne ist der ISO 37301 zu wünschen, dass sie sich – nicht zuletzt wegen der globalen Bekanntheit und Akzeptanz von ISO-Standards – als internationale Benchmark für die angemessene Umsetzung und Verankerung von Compliance in Organisationen aller Arten bewährt.

Ich wünsche allen Leserinnen und Lesern viele hilfreiche Impulse und für Ihre Praxis relevanten Nutzen. Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freue ich mich unter office@neiger.eu!

Wien, im Juli 2021 Barbara Neiger

1Grundlagen und Rahmenbedingungen

1 Grundlagen und Rahmenbedingungen

In fünf Kapiteln werden Grundlagen und Rahmenbedingungen für ein Compliance Management System (CMS) nach ISO 37301 dargelegt. Als Erstes muss die Bedeutung des Begriffes „Compliance“ im Zusammenhang mit diesem Praxiskommentar geklärt werden: die Einhaltung von Verpflichtungen, die für eine Organisation aufgrund obligatorischer Bestimmungen und freiwillig eingegangener Selbstverpflichtungen bindend sind. In Kapitel 1.2 werden die rechtlichen Rahmenbedingungen für Compliance in Organisationen anhand von nationalen und internationalen Vorschriften über die (strafrechtliche) Verantwortung von Organisationen für regelwidrige Handlungen ihrer Mitarbeiter erläutert. Die Verpflichtung der Geschäftsleitung zur Errichtung eines der individuellen Situation der Organisation angemessenen CMS basiert auf deren allgemeiner Sorgfaltspflicht als ordentlicher Kaufmann. Wie in Kapitel 1.3 dargelegt, soll ein CMS als Werkzeug des strategischen Managements durch ein planvolles Vorgehen sicherstellen, dass bei der Abwicklung der Geschäftstätigkeit die für die Organisation relevanten Verpflichtungen eingehalten werden. Durch die Vermeidung von Compliance-Verstößen bzw. durch die Verringerung von deren negativen Auswirkungen wird das Erreichen der Ziele einer Organisation unterstützt. Die Abgrenzung des CMS zu Corporate Governance und zu weiteren Führungsinstrumenten, wie einem internen Kontrollsystem (IKS) und einem Risikomanagement-System (RMS), werden anschließend in Kapitel 1.4 besprochen. Kapitel 1.5 gibt einen Überblick über die Positionierung der ISO 37301 als unparteiisches Best-Practice-Instrument zur Sicherstellung von einem wirksamen Compliance-Management in Organisationen.

1.1 Begriffsbestimmung Compliance

Der Begriff „Compliance“ leitet sich vom Englischen „to comply with something“ (etwas erfüllen oder einhalten)[1] ab und bedeutet im Zusammenhang des vorliegenden Handbuches die Befolgung von Regeln durch eine Organisation. Und zwar jener Regeln, die für die Organisation aufgrund rechtlicher oder regulatorischer Bestimmungen bindend sind, also auch jener, deren Einhaltung sich die Organisation freiwillig unterworfen hat.

Damit bedeutet Compliance zunächst einmal nur, dass Verbindlichkeiten eingehalten werden. Das ist nicht neu und ein in Rechtsstaaten immer schon selbstverständliches Prinzip.[2] Compliance umfasst aber auch die Thematik, wie Organisationen die Einhaltung von Regeln durch ihre Organe und Mitarbeiter sicherstellen. Den verantwortlichen Führungskräften obliegt es dabei im Rahmen ihrer Aufsichts- und Sorgfaltspflicht dafür zu sorgen, dass sich die für die Organisation tätigen Personen im täglichen Geschäftsverkehr an relevante Verbindlichkeiten, wie z.B. gesetzliche, behördliche oder aufsichtsrechtliche Vorschriften, Branchenvorgaben und unternehmensinterne Richtlinien oder Verträge und verbindliche zwei- oder mehrseitige Vereinbarungen halten.

Die Verpflichtung zur Einhaltung von relevanten gesetzlichen, behördlichen oder aufsichtsrechtlichen Vorschriften gilt für alle Organisationen. Auch die Beachtung von Branchenvorgaben und organisationsinternen Richtlinien dient nicht einem Selbstzweck, sondern liegt im Interesse der Organisation. Allen Organisationen, unabhängig von ihrer rechtlichen Form, ihrer Größe oder ihrem Tätigkeitsbereich, stehen beschränkte Ressourcen zur Verfügung, die möglichst effizient und effektiv eingesetzt werden müssen. Es ist unrichtig, zu argumentieren, dass das Erfordernis eines solch wirtschaftlichen Handelns nur für auf Gewinn (Profit) gerichtete Organisationen gilt. Auch Not-for-profit-Organisationen haben begrenzte Ressourcen zur Verfügung, mit deren Einsatz das bestmögliche Ergebnis zu erzielen ist. Negative finanzielle Folgen von Non-Compliance in Form von Straf- und Bußgeld-Zahlungen fallen sicher nicht unter die Definition des „bestmöglichen Ergebnisses“.